Gestern hatte Apple bekanntgegeben, dass man die für die Entwicklung der Pegasus-Spyware verantwortliche NSO Group verklagt habe, da sich der Angriff gegen iPhone-Nutzer richtete und deren Sicherheit gefährde. Im Rahmen dieser Bekanntmachung kündigte Apple auch an, dass man Nutzer, die von einem solchen Angriff betroffen sind, hierüber informieren würde, ohne zu erklären, wie dies geschehen würde. In der gestern erschienenen Pressemitteilung erklärte Apple lediglich: "Apple benachrichtigt die geringe Anzahl von Nutzern, die, wie man festgestellt hat, möglicherweise von FORCEDENTRY betroffen sind. Jedes Mal, wenn Apple Aktivitäten feststellt, die auf einen staatlich geförderten Spionageangriff hindeuten, wird Apple betroffene Nutzer gemäß den branchenbesten Verfahren benachrichtigen." Auch diesen Punkt hat man nun jedoch über die Veröffentlichung eines neuen Support Dokuments aufgeklärt.

Apple weist darauf hin, dass man die Nutzer niemals dazu auffordern wird, Apps herunterzuladen oder Links in Mails oder iMessages anzuklicken. Aus diesem Grunde sollten sich Nutzer, die eine entsprechende Benachrichtigung erhalten, mit ihrer Apple ID auf dem Webportal anmelden, um dort zu überprüfen, ob diese Benachrichtigung tatsächlich von Apple stammt.

Zudem gibt Apple zu bedenken, dass es aufgrund der Komplexität der Situation auch Falschmeldungen geben könne und manche Angriffe auch nicht entdeckt werden. Man werde jedoch weiter mit Hochdruck daran arbeiten, die eigenen Abwehr- und Erkennungsmaßnahmen zu verbessern, um die Sicherheit seiner Nutzer zu gewährleisten.

Unabhängig davon, ob man von einem Pegasus-Angriff betroffen ist, empfiehlt Apple allen Nutzern die folgenden Maßnahmen, um ihre Geräte vor einem Spyware-Angriff zu schützen.

• Stets die aktuellste iOS-Version nutzen.
• Das Gerät mit einer PIN schützen.
• Ein starkes Passwort und die Zwei-Faktor-Authentifizierung für die Apple ID? verwenden.
• Apps ausschließlich aus dem AppStore installieren.
• Auch bei Onlinediensten starke und individuelle Passwörter verwenden.
• Nicht auf Links oder Anhänge in E-Mails von unbekannten Absendern klicken.

Die Pegasus-Spyware hat in den vergangenen Monaten eine Menge Schlagzeilen produziert. Eingesetzt von verschiedenen Regierungen und Behörden war es mit ihr möglich, Schwachstellen in Apple Music und iMessage auszunutzen, um sich hierdurch Fernzugriff auf ein angegriffenes iPhone zu verschaffen, was offenbar auch durchaus großflächig geschehen ist. Heute nun hat Apple in einer Pressemitteilung bekanntgegeben, dass man die israelische NSO Group, die die Pegasus-Software entwickelt hat und auch vertreibt, verklagt hat, um sie für die Überwachung von und den gezielten Angriff auf Apple Nutzer zur Verantwortung zu ziehen.

Neben der Klage gegen die NSO Group beantragt Apple außerdem eine dauerhafte Verfügung, die dem israelischen Unternehmen die künftige Nutzung jeglicher Software, Services oder Geräte von Apple untersagt. Apples Software-Chef Craig Federighi erklärt dazu:

"Staatlich geförderte Akteure wie die NSO Group geben Millionen von US-Dollar für ausgeklügelte Überwachungstechnologien aus, ohne dass eine wirksame Rechenschaftspflicht besteht. Das muss sich ändern. Apple-Geräte sind die sicherste Consumer-Hardware auf dem Markt – aber private Unternehmen, die staatlich geförderte Spionagesoftware entwickeln, sind noch gefährlicher geworden. Obwohl diese Bedrohungen der Cybersicherheit nur eine sehr geringe Anzahl unserer Kunden betreffen, nehmen wir jeden Angriff auf unsere Anwender sehr ernst und arbeiten kontinuierlich daran, die Maßnahmen zum Datenschutz und der Privatsphäre in iOS zu verbessern, um alle unsere Nutzer zu schützen."

Apple hatte bereits mit den iOS-Versionen 14.6 und 14.8 Maßnahmen gegen Pegasus eingeführt und die ausgenutzten Sicherheitslücken gestopft. So wurde beispielsweise mit iOS 14.8 die FORCEDENTRY-Lücke gestopft, über die die Spyware per iMessage auf das iPhone geladen werden konnte, um dort Zugriff auf die Kamera, das Mikrofon, Textnachrichten, E-Mails, Telefongespräche und weitere Inhalte zu ermöglichen. Auch das deutsche BKA hatte sich die Pegasus-Spyware beschafft und im März vergangenen Jahres gegen Terroristen und das organisierte Verbrechen eingesetzt.

Auch mit iOS 15 hat Apple verschiedene neue Sicherheitsmechanismen implementiert, um das Eindringen von möglicher Spyware auf dem iPhone zu verhindern. Man kann allerdings davon ausgehen, dass man auch bei der NSO Group in der Zwischenzeit nicht untätig gewesen ist und nach weiteren Lücken gesucht hat. Ivan Krsti?, Head of Apple Security Engineering and Architecture erklärt:

"Bei Apple arbeiten wir kontinuierlich daran, unsere Nutzern selbst vor den komplexesten Cyberangriffen zu schützen. Die Schritte, die wir heute unternehmen, senden eine klare Botschaft aus: In einer freien Gesellschaft ist es inakzeptabel, mächtige staatlich geförderte Spionagesoftware gegen diejenigen einzusetzen, die die Welt verbessern wollen. Unsere Teams zur Erkennung und Entwicklung von Maßnahmen gegen Cyberangriffe arbeiten rund um die Uhr daran, neue Bedrohungen zu analysieren, Schwachstellen schnell zu beheben und branchenführende neue Schutzmechanismen für unsere Software und unsere Chips zu entwickeln. Die Sicherheitstechnologien von Apple gehören zu den am weitest entwickelten auf der ganzen Welt, und wir werden weiterhin unermüdlich daran arbeiten, unsere Nutzer vor Missbrauch durch staatlich geförderte Akteure wie die NSO Group zu schützen."

Zusätzlich zu der eingereichten Klage hat Apple angekündigt, zehn Millionen US-Dollar sowie den etwaigen Schadenersatz aus der Klage gegen die NSO Group an Organisationen zu spenden, die sich mit der Erforschung von und dem Schutz vor Cyberüberwachung beschäftigen. Außerdem wird man auch weiterhin die Forscher des Citizen Labs, einer Forschungsgruppe an der Universität Toronto, die die FORCEDENTRY-Lücke entdeckt hatte, mit kostenloser Technik, bei der Aufklärung von Bedrohungsszenarien sowie mit technischer Hilfe bei ihrer unabhängigen Forschungsarbeit unterstützen und gegebenenfalls anderen Organisationen, die in diesem Bereich wichtige Arbeit leisten, dieselbe Unterstützung anbieten.

Die aktuell im Zusammenhang mit Apples AirTags entdeckte Schwachstelle zeigt mir einmal mehr, dass ich nicht als Hacker tauge. Auf eine solche Idee, wie sie aktuell von den Sicherheitsexperten von KrebsOnSecurity präsentiert wird, wäre ich nämlich im Leben nicht gekommen. Für den Fall, dass man einen AirTag verliert und dieser von einem ehrlichen Mitmenschen gefunden wird, hat dieser die Möglichkeit, den AirTag mit seinem iPhone zu scannen, woraufhin er auf eine speziell generierte URL geleitet wird, auf der der Besitzer ihm Kontaktinformationen wie eine Telefonnummer oder eine E-Mail Adresse bereitstellen kann. Diese Webseite ist der Einfachheit halber nicht mit irgendwelchen Zugangsdaten geschützt.

Laut KrebsOnSecurity kann ein Angreifer allerdings Schadcode in die erzeugte Webseite einschleusen, so dass diese sich quasi als gefakte iCloud-Webseite präsentiert, auf der der Finder dann dazu verleitet sein könnte, seine Zugangsdaten einzugeben, die dann wiederum von dem Angreifer ausgelesen werden können. Im Prinzip also eine Art Fishing-Angriff. Entdeckt hat diese Möglichkeit der Sicherheitsforscher Bobby Raunch, der Apple auch bereits am 20. Juni auf das Problem aufmerksam gemacht hat. In der Vergangenheit meldete sich das Unternehmen dann bei Rauch und erklärte, dass man das Problem mit einem kommenden Softwareupdate beheben werde. In der Zwischenzeit wurde der Sicherheitsforscher gebeten, die entdeckte Lücke nicht öffentlich zu machen.

Nachdem Rauch bei Apple nachfragte, ob ihm durch die Meldung über das "Bug Bounty Program" eine Belohnung zustehe, hörte er bislang nichts weiter aus Cupertino, weswegen er die Lücke nun doch öffentlich machte:

"I told them, 'I'm willing to work with you if you can provide some details of when you plan on remediating this, and whether there would be any recognition or bug bounty payout. Their response was basically, 'We'd appreciate it if you didn't leak this.'"

Damit ist die Lücke der nächste Fall von öffentlich gewordenen Sicherheitsproblemen in Apple-Systemen in den vergangenen Wochen. In der Szene regt sich zunehmend Unmut gegenüber Apple, der sich vor allem an der mangelhaften Kommunikation und der langsamen Reaktion im Rahmen des "Bug Bounty Programs" festmacht.

Bereits kurz nach der Veröffentlichung von iOS 15 meldete sich der Sicherheitsforscher Denis Tokarev zu Wort und kritisierte Apple dafür, dass man gleich mehrere sogenannte "Zero-Day" Sicherheitslücken unbearbeitet ließ, die Tokarev an das Unternehmen gemeldet hatte. Dem Sicherheitsforscher zufolge hatte er dies bereits vor Monaten getan und sei von Apple dafür konsequent ignoriert worden. Nachdem er die Lücken nun öffentlich gemacht hat, hat sich Apple doch noch bei ihm gemeldet, wie er den Kollegen von Motherboard verriet. Offenbar braucht es inzwischen immer erst eine gewisse mediale Aufmerksamkeit ehe man sich in Cupertino rührt. In einer Mail an Tokarev entschuldigt sich Apple für die ausgebliebene Kommunikation und erklärt, dass man die Probleme noch immer untersuche.

"We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you. We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance. Please let us know if you have any questions."

Unter anderem besteht nach wie vor eine Sicherheitslücke im Zusammenhang mit Game Center in iOS 15, durch die eine installierte App auf die komplette Apple ID, den Namen, die Kontakte und weitere Inhalte auf dem Gerät Zugriff erlangen kann. Da sich Apple auf seine Hinweise hin nicht rührte, hatte Tokarev die Lücken öffentlich gemacht. Die Meldungen zu den entdeckten Bugs hatte er dabei bereits zwischen März und Mai bei Apple eingereicht, so dass man dort Monate Zeit hatte, sich um die Behebung zu kümmern. Zugegebenermaßen sind die Lücken allerdings nicht unmittelbar kritisch, da gleich mehrere Voraussetzung für ihre Ausnutzung erfüllt sein müssen.

Schon seit geraumer Zeit sind die über WhatsApp versendeten Nachrichten Ende-zu-Ende verschlüsselt, was bedeutet, dass nur Absender und Empfänger einer Unterhaltung die Nachrichten lesen können. Diese Verschlüsselung galt bislang allerdings nicht für WhatsApp-Backups, die in der Cloud, im Falle von Apple auf den iCloud-Servern abgelegt werden. Schon länger war bekannt, dass man bei Facebook aber an genau einer solchen Funktion arbeiten würde. Nun wurden diese Arbeiten abgeschlossen und die Funktion soll in den kommenden Wochen an die WhatsApp-Nutzer unter iOS und Android ausgerollt werden. Facebook CEO Mark Zuckerberg erklärt hierzu in einem Facebook-Post:

We’re adding another layer of privacy and security to WhatsApp: an end-to-end encryption option for the backups people choose to store in Google Drive or iCloud. WhatsApp is the first global messaging service at this scale to offer end-to-end encrypted messaging and backups, and getting there was a really hard technical challenge that required an entirely new framework for key storage and cloud storage across operating systems.

Gegenüber den Kollegen von TechCrunch ergänzt Facebook weitere Informationen zur Funktion. Nutzer werden nach Einführung der Verschlüsselung die Möglichkeit haben, einen 64-stelligen Schlüssel zu erstellen, mit dem die Backups in der Cloud verschlüsselt werden. Der Schlüssel kann wahlweise offline oder in einem  beliebigen Passwort-Manager gespeichert werden.

Wichtig: Durch die Erstellung des ersten verschlüsselten Backups werden ältere, unverlüsselte in der Cloud gespeicherte Sicherungen automatisch gelöscht. Auch eine sinnvolle Sicherheitsmaßnahme. Weitere Details lassen sich einem White-Paper entnehmen, welches Facebook zu dem Thema veröffentlicht hat.

Seit Jahren wehrt sich Apple dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Dass diese Befürchtung nicht unbegründet ist, zeigte zuletzt der Fall einer Spionagesoftware namens "Pegasus" der israelischen Sicherheitsfirma NSO Group, mit der zahlreiche Journalisten, Aktivisten und Regierungskritiker ausspioniert wurden.

Nun stellt sich heraus, dass auch das Bundeskriminalamt (BKA) die Pegasus-Software von NSO gekauft hat, wie die Regierung in einer Sitzung des Innenausschusses bestätigte (via DIE ZEIT). Demnach wurde die Pegasus-Software angeschafft, nachdem eigene Bemühungen, ein Tool zum Überwachen und Ausspähen von iOS- und Android-Geräten fehlgeschlagen waren. Unklar ist, ab wann die Software eingesetzt wurde. Wie die Süddeutsche Zeitung parallel berichtet (via Deutsche Welle), sollte Pegasus als Ergänzung zum offenbar wenig erfolgreichen Staatstrojaner eingesetzt werden. BKA Vizepräsidentin Martina Link hat offenbar bestätigt, dass man die Software Ende 2020 angeschafft habe und sie im März auch gegen Terroristen und das organisierte Verbrechen eingesetzt habe.

Offenbar wurde die Pegasus-Software unter größter Geheimhaltung beschafft. Wohl auch, weil man intern Bedenken hinsichtlich der Legalität der Spyware hatte. Das deutsche Recht sieht vor, dass Smartphones, Computer und ähnliche Geräte von Verdächtigen nur unter bestimmten Voraussetzungen und nach eingängiger Prüfung infiltriert werden dürfen. Nach Aussage des BKA wurden daher auch nur ausgewählte Funktionen von Pegasus aktiviert und genutzt, um die Software gemäß des deutschen Rechts einsetzen zu können. Unklar bleibt allerdings, gegen wen konkret man die Spyware eingesetzt hat.

Wie DIE ZEIT berichtet, war das BKA bereits 2017 an die NSO Group wegen einer Lizenzvereinbarung herangetreten. Damals seien die Gespräche allerdings gescheitert, weil man von den Möglichkeiten von Pegasus nicht überzeugt war. Nachdem die Bestrebungen, ein eigenes Tool zu entwickeln fehlgeschlagen waren, wurden die Gespräche aber wieder aufgenommen. Der Einsatz von Pegasus durch deutsche Behörden kontakariert natürlich ein wenig die kürzliche Aufforderung des Vorsitzenden des Digitalisierungsausschusses, Manuel Höferlin, der Apple eindringlich dazu aufforderte, die geplanten Kinderschutzmaßnahmen in seinen Systemen nicht einzuführen, da hierdurch Hintertüren geschaffen würden, die Angreifer auch für andere Zwecke nutzen könnten. Apple hat die Einführung inzwischen bekanntermaßen verschoben.

Während man sich bislang mit einem iPhone aufgrund der dort geltenden Sicherheitsmaßnahmen in diese Richtung für recht unangreifbar hielt, kam inzwischen heraus, dass Pegasus auch auf den Apple-Geräten großflächig zum Einsatz kam. So hat das Amnesty International Security Lab insgesamt 37 iPhones ausfindig gemacht, auf denen die Software zum Einsatz kam. Diese nutzte dabei unter iOS 14.6 Sicherheitslücken in iMessage und Apple Music aus, um sich über einen sogenannten "Zero-Click-Angriff" unbemerkt auf den Geräten der betroffenen Nutzern zu installieren. Neben dem Ausspionieren der auf den Smartphones lagernden Informationen war Pegasus im vergangenen Jahr durch die angesprochenen Sicherheitslücken sogar in der Lage, sich Zugriff auf Mikrofon und Kamera der angegriffenen iPhones zu verschaffen.

Genau derartige Sicherheitslücken, wie sie von Pegasus ausgenutzt wurden sind übrigens auch der Grund, warum man nicht allzu lange mit dem Installieren von Updates auf seinen Geräten warten sollte. Hierin stecken nicht nur neue Funktionen, sondern vor allem auch Sicherheitsaktualisierungen, die derartige Lücken stopfen.

Vor einigen Tagen wurde bekannt, dass sich offenbar verschiedene Organisationen die sogenannte Pegasus-Software der israelischen Sicherheitsfirma NSO Group besorgt haben, um sie dafür einzusetzen, zahlreiche Journalisten, Aktivisten und Regierungskritiker auszuspionieren und zu verfolgen. Grundsätzlich war die Software dafür gedacht, Sicherheitsbehörden Zugang zu den Handys von Verbrechern und Terroristen zu gewähren, um dort Beweise und weitere Informationen sicherzustellen. Zu Tage gefördert haben dies Recherchen verschiedener Nachrichtenorganisationen. Auf der anderen Seite wehrt sich Apple seit Jahren dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Diese Befürchtung Befürchtungen haben sich durch "Pegasus" nun Bewahrheitet.

Bei der NSO Group, den Entwicklern von Pegasus, weist man sämtliche Schuld von sich und verweist darauf, dass man ausschließlich mit Sicherheitsbehörden zum Zwecke der Strafverfolgung und Verbrechensbekämpfung zusammenarbeite. Sollte die Software zu anderen Zwecken eingesetzt werden, würde die Zusammenarbeit sofort beendet. Dies ist nach der öffentlichen Aufmerksamkeit, die das Thema in den vergangenen Tagen erhalten hat offenbar nun auch verstärkt geschehen.

So wurde in der vergangenen Woche von der Washington Post berichtet, dass die NSO Group bei fünf Regierungen die Nutzung der Pegasus-Software blockiert habe, nachdem man ein internes "human rights audit" durchgeführt hatte. Dabei soll es sich angeblich um Organisationen aus Saudi Arabien, Dubai und Mexiko gehandelt haben.

Nun berichtet NPR, dass man offenbar auch die Nutzung bei einer zweiten Welle von Organisationen gestoppt habe. Offensichtlich geschah dies auch auf verstärkten Druck der israelischen Regierung. Während unklar ist, um welche Organisationen aus welchen Teilen der Welt es sich hierbei handelt, sollen sie sich auf dem ganzen Globus befinden.

Seit Jahren wehrt sich Apple dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Dass diese Befürchtung nicht unbegründet ist, zeigt der aktuelle Fall einer Spionagesoftware namens "Pegasus" der israelischen Sicherheitsfirma NSO Group, mit der zahlreiche Journalisten, Aktivisten und Regierungskritiker ausspioniert wurden.

Zu Tage gefördert haben dies Recherchen verschiedener Nachrichtenorganisationen, wie ihr sicherlich in den vergangenen Tage auch der allgemeinen Presse entnommen habt. Aus Deutschland waren an dieser Arbeit unter anderem der NDR, die Süddeutsche Zeitung und DIE ZEIT beteiligt. Dabei wurde entdeckt, dass die Software, die eigentlich für die oben genannten Zwecke konzipiert und vertrieben wurde, auch anderweitig und vor allem von autoritären und totalitären Regimen genutzt wird.

Während man sich bislang mit einem iPhone aufgrund der dort geltenden Sicherheitsmaßnahmen in diese Richtung für recht unangreifbar hielt, kam bei den Recherchen heraus, dass Pegasus auch auf den Apple-Geräten großflächig zum Einsatz kam. So hat das Amnesty International Security Lab insgesamt 37 iPhones ausfindig gemacht, auf denen die Software zum Einsatz kam. Diese nutzte dabei unter iOS 14.6 Sicherheitslücken in iMessage und Apple Music aus, um sich über einen sogenannten "Zero-Click-Angriff" unbemerkt auf den Geräten der betroffenen Nutzern zu installieren. Neben dem Ausspionieren der auf den Smartphones lagernden Informationen war Pegasus im vergangenen Jahr durch die angesprochenen Sicherheitslücken sogar in der Lage, sich Zugriff auf Mikrofon und Kamera der angegriffenen iPhones zu verschaffen.

Bei der NSO Group, den Entwicklern von Pegasus, weist man sämtliche Schuld von sich und verweist darauf, dass man ausschließlich mit Sicherheitsbehörden zum Zwecke der Strafverfolgung und Verbrechensbekämpfung zusammenarbeite. Sollte die Software zu anderen Zwecken eingesetzt werden, würde die Zusammenarbeit sofort beendet. Viel weiter möchte man sich in dem folgenden Statement gegenüber dem Guardian dann aber auch nicht in die Karten schauen lassen:

"NSO does not operate the systems that it sells to vetted government customers, and does not have access to the data of its customers' targets. NSO does not operate its technology, does not collect, nor possesses, nor has any access to any kind of data of its customers. Due to contractual and national security considerations, NSO cannot confirm or deny the identity of our government customers, as well as identity of customers of which we have shut down systems."

Auch Apple hat sich inzwischen gegenüber dem Guardian zu den Entdeckungen geäußert, verurteilt die Spionageangriffe auf die Smartphones von Journalisten, Aktivisten und Regierungskritikern und weist darauf hin, dass es genau diese Dinge seien, weswegen man sich gegen den Einbau von Hintertüren in seine Systeme sperrt:

"Apple unequivocally condemns cyber-attacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree ?iPhone? is the safest, most secure consumer mobile device on the market. [...] Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data."

Übrigens sind genau derartige Sicherheitslücken, wie sie von Pegasus ausgenutzt wurden der Grund, warum man nicht allzu lange mit dem Installieren von Updates auf seinen Geräten warten sollte. Hierin stecken nicht nur neue Funktionen, sondern vor allem auch Sicherheitsaktualisierungen, die derartige Lücken stopfen. Seit gestern Abend lässt sich iOS 14.7 auf allen unterstützten Geräten laden und installieren.